Skip to main content

Firewall für easybell VoIP und SIP Trunking konfigurieren

In diesem Artikel erklären wir ausführlich, wie die korrekten Einstellungen einer Firewall auszusehen haben, damit eine reibungslose Nutzung von easybell Voice-Anschlüssen oder Cloud Telefonanlagen gewährleistet werden kann.

Je nachdem, welche Konfiguration der Telefonie Sie umsetzen wollen, unterscheidet sich dabei das Vorgehen. Wir haben im Folgenden die Themen aufbereitet, welche die häufigsten Szenarien im Umgang mit easybell Produkten abbilden.

Bedingt durch die Vielfalt an Firewall-Systemen auf dem Markt haben wir die Angaben dabei so genau wie nötig, aber so allgemein wie möglich gehalten.

Egal, um welche Installationsvariante es sich handelt, ist es immer von Vorteil, den Voice over IP Datenverkehr im Netzwerk zu priorisieren. Viele Router und Firewall-Lösungen bieten dafür die Funktion des QoS (Quality of Service) an, welche nach Möglichkeit aktiviert und auf SIP- und RTP-Daten konfiguriert werden sollte.

easybell Einzelrufnummer mit einem einzelnen Telefon

Die einfachste Variante ist die für Heim- und Kleinstinstallationen. Wenn zu Haus oder im Büro lediglich ein einzelnes Telefon an einer Einzelrufnummer registriert ist, müssen nur wenige Punkte beachtet werden.

Die SIP-Registrierung erfolgt bei den meisten VoIP Telefonen standardmäßig über den SIP-Port 5060 (wahlweise 5064, wenn im Telefon angepasst) mit dem Protokoll UDP (wahlweise TCP, wenn im Telefon angepasst). Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt. Wichtig ist, dass in der Firewall diese Ports freigegeben sind. Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist. Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

Weiterhin ist bei diesen Installationen lediglich darauf zu achten, dass die Services NAT, SIP-ALG und IGMP-Snooping deaktiviert sind, was die meisten Router für Heim- und Kleinstinstallationen von Hause aus mitbringen.

Wer auf Nummer sicher gehen möchte und bei wem es die Firewall zulässt, der kann die Port-Freigaben auf die lokale IP-Adresse des Telefons sowie den Hostnamen unseres Registrar (sip.easybell.de) beschränken. Dafür muss das Telefon im lokalen Netzwerk mit einer festen IP-Adresse versehen werden. In der Standardeinstellung sind die Telefone auf DHCP konfiguriert, bei dem sich die IP-Adresse im lokalen Netzwerk regelmäßig ändert. In diesem Fall führt eine IP-Beschränkung natürlich zu Problemen.

easybell Trunk an einer lokalen Telefonanlage

Das nächste Beispiel beschreibt die Installation einer lokalen Telefonanlage, welche sich an einem oder mehreren easybell-Trunks (Anschluss mit Rufnummernblock) registriert.

Hierbei gelten generell die Einstellungen wie bereits im oberen Beispiel genannt. Die SIP-Registrierung erfolgt meistens standardmäßig über den SIP-Port 5060 (wahlweise 5064, wenn dies entsprechend angepasst wurde) mit dem Protokoll UDP (wahlweise TCP). Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt. Wichtig ist, dass in der Firewall diese Ports freigegeben sind. Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist. Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

Zu beachten ist lediglich, dass viele Anlagenhersteller noch spezifische Einstellungen für die Funktion und Erreichbarkeit des Telefonsystems benötigen. Diese entnehmen Sie bitte den Dokumentationen Ihrer gewählten PBX.

Weiter ist es häufig der Fall, dass in größeren, komplexeren Netzwerken natürlich auch mehr Hardware zum Einsatz kommt, welche mit aktiven Elementen die Infrastruktur beeinflusst. So ist es zum Beispiel nicht selten der Fall, dass aktive Switche und/oder weitere Router, welche Subnetze verwalten, die genannten Services bereitstellen oder per Default aktiviert haben. Dies sind Faktoren, die die Funktionen der Voice over IP-Telefonie im Netzwerk beeinflussen oder gar stören können. Hier muss daher darauf geachtet werden, dass auch diese zusätzlichen Geräte die genannten Services und Funktionen deaktiviert haben.

Auch ist es wichtig zu beachten, dass komplexe Netzwerkkonstruktionen mit Subnetzen und/oder VLANs die Funktionalitäten beeinträchtigen können. Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings.

Mehrere Telefone an einem easybell Trunk (Cloud Accounts)

Um mehrere Telefone an einem easybell-Trunk zu registrieren, müssen zunächst im easybell-Kundenportal Cloud Accounts eingerichtet werden. So werden für jedes Endgerät eigene Registrierungsdaten erzeugt und eine  eindeutige Zuordnung des Datenverkehrs ist gegeben. Aus diesem Grund benötigt diese Variante keine zusätzliche Konfiguration der Firewall. Sofern die folgenden Ports freigegeben sind (Bitte beachten: Eine Weiterleitung ist keine Freigabe) und die Funktionen SIP-ALG, NAT, IGMP und ICMP deaktiviert sind, sollte die Telefonie bereits funktionieren. Auch hier gilt, wenn möglich eine Beschränkung in den Firewall-Regeln für die genutzten, lokalen IP-Adressen zu nutzen, um die Sicherheit zu erhöhen.

SIP-Port5060 (5064), UDP (TCP)
secure SIP5061 (TLS)
RTP-Port20000 - 50000 (UDP)
sRTP20000 - 50000 (TLS)

Telefonie mit Einzelrufnummern oder Trunks über verschlüsselte Telefonie

Wenn bei Einzelrufnummern oder Trunks die Verschlüsselte Telefonie genutzt werden soll, ist auf jeden Fall in der Firewall eine Anpassung der Standard-Ports notwendig. Hierbei ist zu beachten, dass die easybell-Infrastruktur für die verschlüsselte Telefonie einen gesonderten Registrar zur Verfügung stellt. Dieser lautet:

secure.sip.easybell.de

Der erforderliche SIP-Port muss ebenfalls angepasst werden. Hier ist der Port 5061 zu verwenden. Einen Alternativ-Port gibt es in diesem Fall nicht. Für RTP Pakete bleibt der Port-Bereich mit 20000 - 50000 identisch, allerdings nun mit dem Protokoll TLS.

Endgeräte an der Cloud Telefonanlage

Kommt die Cloud Telefonanlage zum Einsatz gibt es zu der bisherigen Konfiguration lediglich eine Abweichung zu beachten. Der SIP-Registrar heißt nun:

pbx.easybell.de

Dies ist wichtig, soll in der Firewall eine Beschränkung des SIP-Ports 5060 auf den Registrar gesetzt werden. Weiterhin bietet die Cloud Telefonanlage nur den SIP-Port 5060. Die Nutzung des Alternativ-Port 5064 ist hier NICHT möglich. Die Port-Bereiche für die Audio-Übertragung bleiben ebenfalls identisch bei 20000 - 50000.

Auch bei der Nutzung der easybell Cloud Telefonanlage sollte darauf geachtet werden, dass in dem/den lokalen Netzwerk(en) in dem/denen die Telefone angemeldet sind, keine zusätzlichen Services wie NAT etc. aktiv sind.

Für die automatische Provisionierung der Telefone in der Cloud Telefonanlage wird lediglich der Port 443 für HTTPs benötigt. Dieser ist in der Regel bereits in jedem Router freigegeben.

Cloud Telefonanlage mit verschlüsselter Telefonie nutzen

Um die Verschlüsselte Telefonie an der Cloud Telefonanlage zu nutzen, muss der Registrar angepasst werden. Dieser lautet nun:

secure.pbx.easybell.de

Auch hier ändert sich der SIP-Port auf 5061 (TLS) und der Port-Bereich für RTP auf 20000 - 50000 (TLS).

VoIP to go App

Wird die VoIP to go App von easybell genutzt (egal ob über die Cloud Telefonanlage oder an einer Einzelrufnummer registriert), muss zusätzlich zu dem Audio-Port-Bereich der Telefone, der Bereich 10000 - 20000 (UDP) geöffnet werden. Die App arbeitet ebenfalls mit dem SIP-Port 5060, weshalb hier keine zusätzliche Anpassung notwendig ist.

Die Einstellungen sind selbstverständlich nur notwendig, wenn die VoIP to go App im jeweils lokalen WLAN genutzt wird. Eine Verwendung über mobile Daten des Telefons erfordert keine Anpassung am lokalen Netzwerk. Bei komplexeren Firewall-Lösungen ist darauf zu achten, dass es häufig gesonderte Regeln für die LAN- und WLAN-Schnittstelle gibt.

Zusammenfassung

Port-Freigaben

  SIP-Port RTP-Port secure SIP sRTP
Einzelrufnummern und Trunks 5060 (UDP) oder 5064 (TCP) 20000 - 50000 (UDP) 5061 (TLS) 20000 - 50000 (TLS)
easybell Cloud Telefonanlage 5060 (UDP) 20000 - 50000 (UDP) 5061 (TLS) 20000 - 50000 (TLS)
easybell VoIP to go App 5060 (UDP) 10000 - 20000 (UDP) - -

Zu deaktivierende Services

  • NAT (Network Address Translation)
  • SIP-ALG (SIP Application-Layer-Gateway)
  • IGMP-Snooping (Überwachung des Internet Group Management Protocol)
  • ICMP (Internet Control Message Protocol)

Hinweise

  • Auf keinen Fall eine Port-Weiterleitung aktivieren!
  • Die Freigaben für ausgehende Verbindungen auf die internen IPs der Telefonanlage/Telefone beschränken.
  • Die Freigaben für eingehende Verbindungen auf den genutzten Registrar (sip.easybell.de, secure.sip.easybell.de, pbx.easybell.de, secure.pbx.easybell.de) beschränken.
  • Telefone und Telefonanlagen nicht über WLAN verbinden.
  • Telefone nach Möglichkeit nicht in Subnetzen konfigurieren.
  • Priorisierung von VoIP-Datenverkehr priorisieren (QoS).
  • Auf zusätzliche Hinweise der Firewall-Konfiguration der Telefonanlagenhersteller achten.